セキュリティウィーク13：CIAで見つかったDoctor Whoファン、APT29がGoogleを介してバックドアトラフィックを開始し、SAP GUIのパッチ適用を開始

主なニュース週の：真の古い学校のオタクのCIAチーム、「ドクター・フー」からfanateyuschie。 結局、誰かが「Sonic Sc​​rewdriver」でパスワードで保護されたMacbookに感染するツールをダビングすることを考えました。 この貴重な情報を提供してくださったアサンジおじさんに感謝します！



それでは、すべてについて順番に話しましょう。 盗まれたCIAの新しい部分の文書がウィキリークスに登場しました。 哀れなダークマターと呼ばれるフレッシュなフィット、しかし、その中の文書は2008-2012年の最初のフレッシュさではありません。 それにもかかわらず、彼らはアメリカのintelligence報機関の方法と能力のアイデアを与えます。



9年前、マントと短剣の騎士たちが神聖なもの-私たちのiPhoneやMacBookに侵入したことが判明しました。 それでも、アップルテクノロジーのユーザーを追跡するための優れたツールセットを自由に使用できました。



Dark Matterの最新のドキュメントは、すでに述べたSonic Sc​​rewdriverのマニュアルです。 このイーサネットアップルサンダーボルトに挿入アダプタへのインプラント、彼は起動パスワードを無視して、フラッシュドライブからのMacBookブートを行うために必要な。 手順は非常に簡単です。アダプタをThunderboltポートに差し込み、USBフラッシュドライブをUSBに差し込み、MacBookの電源を入れます。 そしてそれだけです。 確かに、紳士用キットを勇敢なジェイソンボーンのフラッシュドライブに用意して、スパイダーティートリックをコンピューターに感染させる必要があります。これについては、WikiLeaksも親切に説明しました。



そのため、DarkSeaSkiesセットは3つのコンポーネントで構成されています。



●DarkMatter-EFIドライバー。MacBookファームウェアで規定されており、スパイウェアコンポーネントをインストールします。 インターネット上で事前に登録された管理サーバーが見つからない場合、投票が失敗したと判断し、コンピューター自体からのアクティビティのすべてのトレースをクリーンアップします。



●SeaPea-Mac OS Xカーネルスペースインプラント。セット全体のプロセスとファイルをユーザーから隠し、他のツールを起動します。



●NightSkies - スパイインプラントユーザ空間のMac OS X.は、CIAのサーバーで実行するために要求されたファイルのMacBookおよびその逆、および起動ファイルを使用してサーバーに送信するコマンドを実行することができます。



DarkSeaSkiesの戦術は非常にCIAです。 これはNSAのエッグヘッドではありません。目標に沿った作業が必要です。 被害者のMacbookに感染するには、エージェントが物理的にアクセスする必要があります。 そして、ウィキリークスの勧告との論文で、単にすでに結婚式など、賄賂や贈り物としてのMacBookに感染したオブジェクトに転送されます。



だから、同僚、CIAがあなたの結婚式のためにMacbookをくれたなら、みんなを動揺させないように、少なくとも少し秘密の文書を書き留めてください。 彼らは試した。 ところで、秘密文書はWikiLeaksからダウンロードできます。



iPhoneに関しては、代理店は同じNightSkiesのバージョンを用意しており、デバイスを制御するための機能の完全なセットを提供しています。 特定のアプリケーション（ブラウザ、電子メールクライアント、マップなど）を使用すると、インプラントがトリガーされます。



iTunesを介してフラッシュすることにより、NightSkiesをiPhoneシステムソフトウェアに直接配置します。 手順は十分に詳細に説明されており、iOSセキュリティシステムに関するいくつかの質問がAppleに残されています。 確かに、ドキュメントは古く、NightSkiesのバージョンはアンティークのiPhone 3G向けですが、確かに代理店は新しいデバイス用のソフトインクを調合することもできました。 一言で言えば、我々はアサンジからの新しい継手を待っています。



APT29はGoogleを介してバックドアトラフィックを渡しました



ニュース 。 研究 2015年、バークレー大学の研究者は、トラフィックの真のエンドポイントを隠すように設計されたドメインフロンティングテクノロジーについて説明しました。 判明したように、APT29グループ（別名Cozy Bear）はこの手法を長い間採用し、成功裏に使用していました。



ドメインフロンティングの意味は、正当なサービスを通じて管理および制御サーバー宛てのトラフィックを転送することです。 この場合、APT29のメンバーはあえてGoogleを介してトラフィックを誘導し、数年間の破壊活動で誰もそれを知りませんでした。



それがあったとして、トロイの木馬は、被害者のマシン上で皮肉のGoogleアプリを装っTorのサービスを、インストール、およびポート139、445及び3389トラフィックにバックドアを上げたバックドアTORに包まれ、その後、使用したプラグイン柔和エンコードされたHTTPトラフィック反射サーバ柔和で、この入れ子人形はすべてGoogleサーバーのTLSに詰め込まれました。 このスキームの主なものは、Googleと同じクラウドにある柔和なサーバーです。



Googleサーバーは、CDNにあるサーバーのHTTPリクエストが到着したことを検出すると、アドレスにリダイレクトします。 meekサーバーはトラフィックをデコードし、TORネットワークに送信します。TORネットワークを介して、バックドア管理サーバーに安全に到達します。







不審なものは何も結果...起こっていないで、GoogleのサービスはGoogleのサーバーと通信するために、攻撃コンピュータの管理者の観点からは、Googleのエレガントなスキームはすでにクラウドで柔和サーバーを出して、壊れた、しかし技術を使用することができ、他のCDNので、リラックスしていません。



SAPクライアントの穴



ニュース 。 SAPは再び脆弱性を発見しました。 今回はサーバー内ではなく、クライアント内です。これはさらに悪いことであり、それが理由です。



疲れを知らずに、パッチの穴と管理者へスマートに3800会社についての彼らは、現時点では、SAP製品の脆弱性を見つけるためにBezopasnik愛（たぶん）更新はロールバックされます。 ただし、サーバーにパッチを適用することは1つですが（ネットワーク上に1つまたは2つある場合もあります）、SAP GUIは多くの場合、会社のすべてのマシンにインストールされます。 そして、大規模な組織には何千人もいる可能性があります。 これも問題を引き起こします。



この場合、この脆弱性を悪用するにはSAPサーバーのセキュリティを侵害する必要があり、これによりリスクがいくらか軽減されます。 しかし、サイバーギャングがそれをクラックすることができた場合、SAP GUIを備えたすべてのマシンは、彼らにとって開かれた扉のようになります。 たとえば、2000台のマシンでランサムウェアとランサムウェアを同時に起動するという見通しはどうですか？ パッチの展開を開始します。

古物

「HH＆HH-4091」



非危険な常駐ウイルス。 暗号化されています。 デフォルトでは、起動時に.COMファイルに感染します。 感染すると、ファイルの名前を* .A *に変更し、書き込みを行ってから、名前を変更します。 月曜日に、ポートA0hに0を書き込み、ポート41hにB0hを書き込みます（？）。 画面上で文字列「Esik」を検索し、見つかった場合は、しばらくするとグラフィックビデオモードに切り替わり、ジャンプボールを表示します。 int 1Ch、21hをフックします。 「＃（-28 = CIPV] HARD HIT＆HEAVY HATE the HUMANS !!! [HH＆HH the H.]」というテキストが含まれています。



Eugene Kaspersky著の本「MS-DOSのコンピューターウイルス」からの引用。 1992年。 69ページ



免責事項：このコラムは、著者の個人的な意見のみを反映しています。 カスペルスキーの位置と一致する場合もあれば、一致しない場合もあります。 ここは幸運です。